Compliancechecklistcompliancecto

Liste de controle de conformite au Reglement sur l'IA de l'UE pour les CTO et CIO

Liste de controle actionnable pour les dirigeants technologiques -- evaluez vos systemes d'IA, comprenez les exigences et elaborez une feuille de route de conformite au Reglement sur l'IA de l'UE avant l'echeance de 2026.

February 15, 202516 min read

Le Reglement sur l'IA de l'UE (Reglement 2024/1689) est desormais en vigueur, et ses obligations entrent progressivement en application selon un calendrier strict. En tant que CTO ou CIO, vous etes la personne la plus susceptible de prendre en charge le volet technique de la conformite -- et celle qui devra repondre lorsque le conseil d'administration demandera : « Sommes-nous prets ? »

Cet article fournit une liste de controle structuree et actionnable pour vous aider a evaluer la position de votre organisation, identifier les lacunes et elaborer une feuille de route de conformite. Il est concu pour les dirigeants technologiques d'entreprises qui developpent, deployent ou acquierent des systemes d'IA touchant le marche de l'UE.

Les pratiques d'IA interdites sont applicables depuis le 2 fevrier 2025. Les obligations relatives aux modeles d'IA a usage general entrent en vigueur le 2 aout 2025. La pleine application pour les systemes d'IA a haut risque debute le 2 aout 2026. Le moment d'agir est maintenant.

Phase 1 : Decouverte et inventaire

Avant de pouvoir vous conformer, vous devez savoir ce que vous avez. La plupart des organisations sous-estiment significativement le nombre de systemes d'IA qu'elles exploitent.

Liste de controle : Inventaire des systemes d'IA

  • Identifiez tous les systemes d'IA dans l'ensemble de l'organisation -- pas seulement ceux etiquetes « IA ». La definition du reglement (article 3, paragraphe 1) est large : tout systeme fonde sur une machine concu pour fonctionner avec des niveaux d'autonomie variables qui genere des resultats tels que des predictions, des recommandations, des decisions ou du contenu.
  • Incluez l'IA tierce -- les systemes que vous acquierez, integrez ou auxquels vous accedez via API. En tant que deployer, vous avez des obligations meme pour des systemes que vous n'avez pas construits.
  • Cartographiez les systemes d'IA par fonction metier -- RH, service client, detection des fraudes, moderation de contenu, chaine d'approvisionnement, marketing, fonctionnalites produit, outils internes.
  • Documentez la finalite et le perimetre de chaque systeme -- quelles decisions il influence, quelles donnees il traite, qui est affecte par ses resultats.
  • Identifiez le fournisseur de chaque systeme -- est-il developpe en interne, acquis aupres d'un vendeur ou en open source ? Vos obligations different selon votre role dans la chaine de valeur.

La definition de « systeme d'IA » au titre du reglement est intentionnellement large. Elle englobe les modeles d'apprentissage automatique, les systemes experts fondes sur des regles, les approches statistiques et les systemes hybrides. En cas de doute, incluez un systeme dans votre inventaire -- il est bien preferable de sur-classifier puis d'exclure que de manquer un systeme qui s'avererait etre dans le champ d'application.

Liste de controle : Identification des roles

Le Reglement sur l'IA attribue differentes obligations en fonction de votre role. Vous pouvez occuper plusieurs roles simultanement :

  • Fournisseur (article 3, paragraphe 3) -- vous developpez un systeme d'IA ou en faites developper un en votre nom et le mettez sur le marche ou le mettez en service sous votre propre nom ou marque
  • Deployer (article 3, paragraphe 4) -- vous utilisez un systeme d'IA sous votre autorite (meme si vous ne l'avez pas construit)
  • Importateur -- vous mettez sur le marche de l'UE un systeme d'IA provenant d'un fournisseur etabli en dehors de l'UE
  • Distributeur -- vous mettez un systeme d'IA a disposition sur le marche de l'UE sans etre fournisseur ni importateur
  • Mandataire -- vous etes mandate par un fournisseur non-UE pour agir en son nom

Phase 2 : Classification des risques

Le coeur du Reglement sur l'IA est son approche fondee sur les risques. Vos obligations dependent entierement de la categorie de risque dans laquelle se situe chaque systeme d'IA.

Liste de controle : Examen des pratiques interdites (article 5)

  • Examinez chaque systeme d'IA par rapport aux huit pratiques interdites de l'article 5
  • Signalez tout systeme impliquant : des techniques subliminales ou manipulatrices, l'exploitation de groupes vulnerables, la notation sociale, la police predictive individuelle, l'extraction non ciblee d'images faciales, la reconnaissance des emotions sur le lieu de travail/dans l'education, la categorisation biometrique pour des attributs sensibles, ou l'identification biometrique a distance en temps reel dans les espaces publics
  • Pour les systemes signales : determinez immediatement si le systeme doit etre abandonne, reconcu ou s'il releve d'une exception limitee
  • Documentez votre analyse pour chaque systeme -- y compris le raisonnement expliquant pourquoi les systemes proches de la frontiere ne sont pas interdits
Unacceptable Risk

Liste de controle : Classification a haut risque (articles 6 et annexe III)

  • Verifiez l'annexe I -- votre systeme d'IA sert-il de composant de securite, ou est-il lui-meme un produit couvert par la legislation d'harmonisation de l'UE (dispositifs medicaux, machines, jouets, vehicules, aviation, etc.) ?
  • Verifiez l'annexe III -- votre systeme d'IA releve-t-il de l'un des huit domaines a haut risque ?
    • Identification et categorisation biometriques
    • Gestion et exploitation des infrastructures critiques
    • Education et formation professionnelle (admissions, evaluations)
    • Emploi, gestion des travailleurs et acces au travail independant (recrutement, attribution des taches, surveillance, evaluation)
    • Acces aux services prives et publics essentiels (notation de credit, tarification des assurances, services d'urgence)
    • Repression (evaluation des risques, polygraphes, analyse des preuves)
    • Migration, asile et controle aux frontieres
    • Administration de la justice et processus democratiques
  • Appliquez l'exception de l'article 6, paragraphe 3 -- meme s'il est enumere a l'annexe III, un systeme n'est pas a haut risque s'il ne presente pas de risque significatif de prejudice. Documentez soigneusement cette evaluation si vous vous en prevalez.
  • Documentez le raisonnement de la classification pour chaque systeme d'IA -- ce sera un element cle dans toute enquete reglementaire
High Risk

Liste de controle : Systemes a risque limite et minimal

  • Identifiez les systemes avec des obligations de transparence (article 50) -- chatbots, hypertrucages, reconnaissance des emotions, categorisation biometrique
  • Classifiez les systemes restants en risque minimal -- codes de conduite volontaires encourages mais pas d'obligations obligatoires
  • Documentez toutes les classifications dans votre registre d'IA

Automatisez votre documentation de conformite

Ctrl AI genere des traces d'execution et des resultats etiquetes de confiance prets pour l'audit pour chaque decision d'IA, donnant aux CTO la base de preuves que les regulateurs attendent.

En savoir plus sur Ctrl AI

Phase 3 : Analyse des ecarts pour les systemes a haut risque

Si vous avez identifie des systemes d'IA a haut risque, c'est ici que le travail de fond commence. Les articles 8 a 15 definissent les exigences.

Liste de controle : Gouvernance des donnees (article 10)

  • Documentez les jeux de donnees d'entrainement, de validation et de test -- y compris leur provenance, leur pertinence, leur representativite et les lacunes ou biais connus
  • Mettez en oeuvre des criteres de qualite des donnees -- examinez les donnees pour detecter les erreurs, les lacunes et les biais avant l'entrainement et de maniere continue
  • Assurez une gouvernance appropriee des donnees -- y compris les processus de collecte des donnees, l'etiquetage, le nettoyage et les operations d'enrichissement
  • Traitez les biais dans les jeux de donnees -- en particulier concernant les caracteristiques protegees (genre, ethnicite, age, handicap)
  • Pour le traitement des donnees personnelles : confirmez la conformite au RGPD, y compris la base juridique, la minimisation des donnees et la limitation des finalites

Liste de controle : Documentation technique (article 11)

  • Preparez la documentation technique avant qu'un systeme ne soit mis sur le marche -- ce n'est pas optionnel et elle doit etre tenue a jour
  • Incluez tous les elements specifies a l'annexe IV : description generale, processus de developpement, surveillance et controle, gestion des risques, modifications et normes appliquees
  • Assurez-vous que la documentation est suffisamment complete pour que les autorites puissent evaluer la conformite -- une documentation vague ou superficielle ne suffira pas

Liste de controle : Tenue de registres et journalisation (article 12)

  • Mettez en oeuvre une journalisation automatique des evenements pendant le fonctionnement du systeme d'IA -- le reglement exige la tracabilite
  • Assurez-vous que les journaux capturent : la duree de chaque utilisation, la base de donnees de reference par rapport a laquelle les donnees d'entree ont ete verifiees, les donnees d'entree pour lesquelles la recherche a abouti a une correspondance, et l'identification des personnes impliquees dans le controle humain
  • Definissez des periodes de conservation pour les journaux -- au minimum pendant la duree appropriee a la finalite prevue du systeme, et au moins six mois sauf indication contraire
  • Assurez-vous que les journaux sont accessibles aux deployers et disponibles pour les autorites sur demande

Liste de controle : Transparence et information (article 13)

  • Concevez des systemes transparents -- les deployers doivent pouvoir comprendre et utiliser de maniere appropriee les resultats du systeme
  • Fournissez des instructions d'utilisation claires couvrant : la finalite prevue, le niveau d'exactitude et de robustesse, les limites connues, les risques de mauvaise utilisation previsible, les mesures de controle humain et les specifications des donnees d'entree attendues
  • Le cas echeant : informez les personnes qu'elles sont soumises a une decision prise par un systeme d'IA a haut risque

Liste de controle : Controle humain (article 14)

  • Concevez des systemes pour un controle humain effectif -- cela signifie un controle reel et significatif, pas un simple tampon automatique
  • Assurez-vous que le superviseur humain peut : comprendre pleinement les capacites et les limites du systeme, interpreter correctement les resultats, decider de ne pas utiliser le systeme ou de passer outre ses resultats, et intervenir ou arreter le systeme
  • Mettez en oeuvre des mecanismes « humain dans la boucle » ou « humain sur la boucle » adaptes au niveau de risque et au contexte
  • Formez les personnes responsables du controle humain -- elles doivent avoir la competence, la formation et l'autorite necessaires pour exercer leur role

Liste de controle : Exactitude, robustesse et cybersecurite (article 15)

  • Definissez et declarez des metriques d'exactitude -- le systeme doit atteindre le niveau d'exactitude adapte a sa finalite prevue
  • Testez la robustesse -- le systeme doit fonctionner de maniere coherente dans les conditions attendues et gerer les erreurs ou les incoherences de maniere elegante
  • Mettez en oeuvre des mesures de cybersecurite -- protegez contre la manipulation non autorisee par des tiers des donnees d'entrainement, des entrees ou du modele lui-meme (empoisonnement des donnees, exemples adversaires, extraction de modele)
  • Documentez tous les resultats des tests et incluez-les dans la documentation technique

Phase 4 : Maturite organisationnelle

La conformite technique est necessaire mais pas suffisante. Vous avez egalement besoin de structures et de processus organisationnels.

Liste de controle : Systeme de gestion de la qualite (article 16)

  • Etablissez un systeme de gestion de la qualite proportionne a la taille de votre organisation -- politiques et procedures documentees pour le developpement, le deploiement et la surveillance des systemes d'IA
  • Incluez la strategie de conformite, l'allocation des ressources et la responsabilite dans le SMQ
  • Mettez en oeuvre un systeme de surveillance apres la mise sur le marche (article 72) -- des processus systematiques pour collecter et analyser les donnees sur les performances de vos systemes d'IA apres le deploiement
  • Definissez un processus de signalement des incidents graves (article 73) -- vous devez signaler aux autorites dans les 15 jours suivant la prise de connaissance d'un incident grave

Liste de controle : Evaluation de la conformite (articles 43-44)

  • Determinez quelle procedure d'evaluation de la conformite s'applique a chaque systeme a haut risque -- controle interne (annexe VI) ou evaluation par un tiers (annexe VII)
  • Identifiez si un organisme notifie est requis -- cela est obligatoire pour certains systemes d'IA biometriques et d'infrastructures critiques
  • Preparez la declaration UE de conformite (article 47) -- une declaration formelle que le systeme satisfait a toutes les exigences applicables
  • Apposez le marquage CE (article 48) avant de mettre le systeme sur le marche
  • Enregistrez le systeme dans la base de donnees de l'UE (article 49)

Liste de controle : Obligations des deployers (article 26)

Si vous deployez (utilisez) des systemes d'IA a haut risque construits par d'autres :

  • Utilisez le systeme conformement aux instructions d'utilisation du fournisseur
  • Affectez le controle humain a des personnes possedant la competence, la formation et l'autorite necessaires
  • Assurez-vous que les donnees d'entree sont pertinentes et suffisamment representatives pour la finalite prevue du systeme
  • Surveillez le fonctionnement du systeme et signalez tout incident grave au fournisseur et a l'autorite competente
  • Realisez une evaluation d'impact sur les droits fondamentaux (article 27) si vous etes un organisme de droit public ou une entite privee fournissant des services publics
  • Informez les personnes qu'elles sont soumises a une decision d'un systeme d'IA a haut risque, lorsque cela est requis

Les obligations des deployers s'appliquent meme si vous avez achete un systeme d'IA aupres d'un vendeur qui pretend etre « conforme au Reglement sur l'IA de l'UE ». La conformite est une responsabilite partagee. Vous ne pouvez pas externaliser vos obligations de deployer a votre fournisseur.

Phase 5 : Calendrier et feuille de route

Elaborez une feuille de route concrete avec des jalons alignes sur l'application progressive du reglement.

Phase 6 : Conformite continue

La conformite n'est pas un projet ponctuel. Le Reglement sur l'IA exige une surveillance et une adaptation continues.

Liste de controle : Obligations continues

  • Surveillez les performances du systeme d'IA apres le deploiement -- suivez les metriques d'exactitude, de biais et de fiabilite dans le temps
  • Mettez a jour la documentation technique chaque fois que le systeme est substantiellement modifie (article 43, paragraphe 4)
  • Signalez les incidents graves a l'autorite de surveillance du marche competente dans les delais requis
  • Restez au fait des orientations reglementaires -- le Bureau de l'IA, le Comite de l'IA et les autorites nationales publieront des actes d'execution, des normes et des codes de bonnes pratiques tout au long de 2025-2027
  • Realisez des audits internes periodiques de vos systemes d'IA par rapport aux exigences du reglement
  • Reformez vos equipes a mesure que le paysage reglementaire evolue
  • Maintenez votre registre d'IA -- tenez-le a jour a mesure que des systemes sont ajoutes, modifies ou retires

Les organisations qui traitent la conformite au Reglement sur l'IA comme un programme continu -- et non comme un exercice ponctuel de cases a cocher -- se trouveront mieux positionnees non seulement pour la conformite reglementaire, mais aussi pour la construction de systemes d'IA veritablement dignes de confiance. Les exigences en matiere de gouvernance des donnees, de transparence, de controle humain et de robustesse sont tout simplement de bonnes pratiques d'ingenierie codifiees dans la loi.

Pieges courants pour les dirigeants technologiques

Sur la base des exigences du reglement et des premiers signaux d'application, voici les erreurs que les CTO et CIO devraient activement eviter :

Sous-estimer le perimetre. La definition de « systeme d'IA » du Reglement sur l'IA est plus large que beaucoup ne s'y attendent. Si vous ne regardez que les systemes explicitement etiquetes « IA » ou « ML », vous manquerez les systemes fondes sur des regles, les modeles statistiques et l'IA embarquee dans les outils tiers.

Traiter la conformite comme un sujet purement juridique. La conformite au Reglement sur l'IA necessite un travail technique approfondi -- gouvernance des donnees, journalisation, tests, documentation. Les equipes juridiques ne peuvent pas le faire seules. La direction de l'ingenierie doit etre directement impliquee.

Ignorer les obligations des deployers. De nombreux CTO supposent que s'ils achetent un systeme d'IA aupres d'un vendeur conforme, ils sont couverts. Ce n'est pas le cas. Les deployers ont des obligations independantes en matiere de controle humain, de surveillance et de qualite des donnees d'entree.

Reporter l'action. Avec les pratiques interdites deja applicables et les obligations relatives au haut risque prenant effet en aout 2026, les organisations qui n'ont pas commence leur programme de conformite sont deja en retard.

Negliger les obligations relatives aux modeles GPAI. Si votre organisation fournit ou affine un modele d'IA a usage general, des exigences supplementaires au titre des articles 51-55 s'appliquent, avec une application a compter d'aout 2025.

Conclusion

La conformite au Reglement sur l'IA de l'UE est un defi technique et organisationnel qui releve pleinement du domaine du CTO et du CIO. La liste de controle ci-dessus fournit un chemin structure de la decouverte a la conformite continue, aligne sur le calendrier d'application progressive du reglement.

Les organisations qui navigueront cette transition le plus aisement sont celles qui commencent maintenant, investissent dans un inventaire et une classification systematiques, et traitent la conformite non comme un fardeau mais comme une opportunite de construire des systemes d'IA transparents, robustes et dignes de confiance.

L'echeance est claire. Les exigences sont definies. La question est de savoir si votre organisation sera prete.

Make Your AI Auditable and Compliant

Ctrl AI provides expert-verified reasoning units with full execution traces — the infrastructure you need for EU AI Act compliance.

Explore Ctrl AI

Articles connexes

Compliance13 min read

Exigences de documentation technique pour les systemes d'IA

Quelle documentation technique est requise au titre du Reglement sur l'IA de l'UE -- exigences de l'annexe IV, registres de gestion des risques, documentation de gouvernance des donnees et maintien de la conformite.

Compliance8 min read

Evaluation de la conformite au titre du Reglement sur l'IA de l'UE

Guide des procedures d'evaluation de la conformite pour les systemes d'IA a haut risque -- controle interne, evaluation par des tiers, marquage CE et declaration UE de conformite expliques.

Compliance14 min read

Exigences de controle humain au titre du Reglement sur l'IA de l'UE

Guide des obligations de controle humain de l'article 14 -- ce que les deployers doivent mettre en oeuvre, prevention du biais d'automatisation et droit de passer outre les decisions de l'IA dans les systemes a haut risque.